Par Paul BENELLI et Marie D’AUVERGNE
Le 11 septembre 2017, l’Agence espagnole de protection des données, l’équivalent en Espagne de la CNIL, a infligé une amende record à Facebook d’un montant de 1,2 millions d’euros.
Cette nouvelle condamnation européenne s’inscrit dans le sillage des différentes actions menées par les autorités européennes de protection des données à caractère personnel ces derniers mois, dont voici un rapide panorama :
- Le 26 janvier 2016, la Présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL) mettait en demeure Facebook de se conformer à la loi Informatique et Libertés, après la constatation en 2015 de plusieurs manquements à cette législation ;
- Le 27 avril 2017, la CNIL sanctionnait Facebook à hauteur de 150 000 euros et rendait publique sa décision, justifiée par le nombre élevé de manquements (6 au total) ;
- Le 12 mai 2017, l’AGCM (autorité italienne de régulation de la concurrence) sanctionnait WhatsApp Inc., filiale de Facebook, à hauteur de 3 millions d’euros ;
- Enfin, le 18 mai 2017, une amende de 110 millions d’euros était infligée à Facebook par la Commission européenne pour avoir fourni des renseignements inexacts concernant le partage de données avec WhatsApp dans le cadre de son enquête sur l’acquisition du service de messagerie courant 2014.
1er manquement
L’Agence espagnole de protection des données (AEPD) reproche ainsi à Facebook de collecter des données sur l’idéologie, le sexe, les croyances religieuses, les goûts personnels et l’historique de navigation sans en informer clairement l’utilisateur sur l’usage et l’objectif de cette collecte.
L’AEPD a relevé que Facebook collectait, utilisait et conservait les données personnelles de ses utilisateurs, mais également d’individus non-inscrits sur le réseau social, à des fins publicitaires sans recueillir le consentement des personnes concernées.
Cette infraction constitue un manquement très sérieux à la législation espagnole sur la protection des données personnelles (Ley Orgánica de Protección de Datos) et justifie la condamnation de Facebook à une première amende d’un montant de 600 000 euros par l’AEPD.
2ème manquement
Les utilisateurs ne sont par ailleurs pas informés de façon claire et complète sur l’usage qui est fait de leurs données une fois qu’elles sont collectées par le géant américain, et ce en raison de conditions générales standardisées, peu claires et difficilement accessibles. En effet l’accès aux Conditions Générales du réseau social, qui sont jugées trop complexes, imposent à l’utilisateur de cliquer sur de trop nombreux liens différents pour les consulter intégralement.
Partant, l’Autorité considère qu’un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne peut comprendre que ses données sont collectées, stockées et exploitées, ni pour quelles finalités elles le sont.
A noter qu’en France également, le défaut d’information des internautes sur leurs droits ou l’utilisation de leurs données constitue un manquement grave à l’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés.
Quant aux internautes non-inscrits sur Facebook, également concernés par cette collecte inconsidérée, l’AEPD a noté qu’ils n’ont véritablement aucun moyen de savoir que le réseau social collecte et traite leurs données personnelles.
L’Agence reproche également à Facebook d’utiliser des cookies permettant de collecter les données d’utilisateurs issues de pages qui ne sont pas sur Facebook, mais qui contiennent un bouton « j’aime ». De nombreuses informations sont transmises par ce biais au réseau social, qui collecte également les données d’internautes qui ne sont pas membres de Facebook mais qui visitent l’une de ses pages.
3ème manquement
Enfin, l’AEPD a relevé que ces données ne sont pas effacées une fois qu’elles ne sont plus utiles ou nécessaires aux finalités pour lesquelles elles sont collectées et traitées, même lorsque les utilisateurs demandaient explicitement leur suppression et supprimaient leurs comptes. Ainsi, Facebook conserverait parfois vos données jusqu’à 17 mois après la demande de fermeture du compte !
Ces agissements sont bien entendu contraires à la législation espagnole et ont donné lieu au prononcé de deux amendes d’un montant de 300 000 euros chacune pour manquements sérieux à la Ley Orgánica de Protección de Datos.
Les CNIL européennes semblent s’accorder sur une certaine uniformité dans la protection des données personnelles puisque les griefs reprochés par l’AEPD à Facebook sont similaires, voire identiques, à ceux invoqués par la CNIL française dans sa décision du 27 avril dernier.
Face à cette décision très sévère, Facebook a déjà annoncé avoir l’intention de faire appel de la sanction devant les juridictions nationales.
Ce montant apparaît pourtant dérisoire :
- comparé à celui du chiffre d’affaires de Facebook qui était de 27,638 milliards de dollars en 2016, soit 24,790 milliards d’euros.
- Comparé aux sanctions prévues par le nouveau Règlement général sur la protection des données (RGPD) applicables à partir du 25 mai 2018 :
- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements à certaines obligations techniques et organisationnelles ;
- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour des manquements aux grands principes en matière de données personnelles, et notamment aux droits des personnes.
En dépit de l’importance de la sanction, Facebook peut s’estimer heureux : si l’AEPD avait rendu sa décision quelques mois plus tard, sa sanction aurait pu aller jusqu’à 4% du chiffres d’affaires de Facebook, soit plus de 900 millions d’euros...
Ces chiffres conséquents montrent l’importance de la prise de conscience qui s’opère peu à peu chez les grands acteurs économiques européens. Le respect des droits des personnes, le recueil du consentement, l’information préalable à la collecte, la mise en place de mesures organisationnelles et techniques sont autant de principes et d’outils à mettre en œuvre dès aujourd’hui afin de ne pas être pris de court en mai 2018.
Fort de près de vingt années d’expertise aux côtés des acteurs du digital et de l’innovation, le Cabinet HAAS Avocats, triplement labélisé par la CNIL, se tient à votre disposition pour vous assister dans la mise en conformité de vos traitements en vue de la sécurisation de ceux-ci.
Le Cabinet HAAS Avocats propose à ce titre :
- La mise en conformité globale d’entreprise au regard des obligations du RGPD ;
- La mise à jour de vos Conditions générales d’utilisation et de votre politique de confidentialité ;
- L’externalisation de la fonction de CIL/DPO ;
- La réalisation d’études d’impact (PIA) ;
- La formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de Data Compliance.
Pour plus d’informations, cliquez ici.